הנחות רישוי רב
Computer Security תוכנה זדונית של LOBSHOT התגלתה באמצעות חקירת פרסום פוגעני

תוכנה זדונית של LOBSHOT התגלתה באמצעות חקירת פרסום פוגעני

עד Mura ב-Computer Security
לתרגם ל:
עברית

חוקרי Elastic Security Labs גילו לאחרונה תוכנה זדונית חדשה בשם LOBSHOT במהלך החקירה היסודית שלהם של עלייה בקמפיינים של פרסום רע. LOBSHOT מעורר עניין במיוחד מכיוון שהוא מעניק לשחקני איומים גישה נסתרת של VNC (מחשוב רשת וירטואלי) למכשירים נגועים. החוקרים מצאו גם קשרים בין התוכנה הזדונית לבין TA505, קבוצת פושעי סייבר בעלת מוטיבציה פיננסית הידועה בפריסת תוכנות כופר שונות וסוסים טרויאניים בנקאיים .

עלייה במסעות פרסום פרסום

מספר מסעות הפרסום של פרסום מזוייף גדל והאופי החשקאי שלהם מקשה על המשתמשים להבדיל בין פרסומות לגיטימיות וזדוניות. חוקרי אבטחה הבחינו כי עלייה זו עשויה להיות מיוחסת לגורמי איומים שמוכרים פרסומות כשירות, מה שמדגיש עוד יותר את החשיבות של שמירה על ערנות בעת אינטראקציה עם מודעות מקוונות.

במהלך המחקר שלהם, Elastic Security Labs הבחינו בעלייה בולטת בקמפיינים של פרסום רעיוני המשתמשים בערכות ניצול למיקוד נקודות תורפה ספציפיות ביישומים בשימוש נרחב. מסעות פרסום אלה נצפו יותר ויותר במספר אתרים פופולריים, וחושפים מיליוני משתמשים לאיומים פוטנציאליים. בדרך כלל, המבקרים באתרים אלו נתקלים בהפרעות פרסום אשר, כאשר לוחצים עליהן, מפנים לדף נחיתה של ערכת ניצול שבו LOBSHOT בסופו של דבר מבצעת במכשיר של המשתמש.

תשתית TA505

TA505 , קבוצת פושעי הסייבר החשודה כמי שעומדת מאחורי הפיתוח והפריסה של LOBSHOT, זוכה מזה זמן רב להכרה בפעילות הזדונית הרחבה שלה. קבוצה זו ידועה במגוון המאורגן והמגוון של קמפיינים לתקיפה, המתמקדת במיוחד במוסדות פיננסיים כמטרותיהם העיקריות, אך גם מרחיבה את הפעילויות הזדוניות שלהם לתעשיות אחרות.

בעקבות הניתוח של LOBSHOT, Elastic Security Labs מצאה חפיפות ברורות בין תשתית התוכנה הזדונית לבין תשתית TA505 שזוהתה בעבר. הדמיון במתודולוגיות התקיפה ובתשתית החופפת נותן אמון בהשערה ש-TA505 אחראי לפיתוח והשימוש הפעיל ב-LOBSHOT.

גישת VNC נסתרת

אחד ההיבטים המדאיגים ביותר של LOBSHOT הוא היכולת שלה להעניק לשחקני איומים גישה נסתרת למכשירים של קורבנות באמצעות VNC. תכונה ספציפית זו מאפשרת לתוקפים לקבל גישה מרחוק למכשיר נגוע תוך עקיפת הסכמת המשתמש, ומספקת להם את היכולת לנטר, לתפעל ולחלץ נתונים רגישים ללא ידיעת המשתמש. גישת ה-VNC הנסתרת הופכת את LOBSHOT לכלי רב עוצמה ומסוכן בארסנל של פושעי סייבר, במיוחד אלה עם מוטיבציות פיננסיות.

שיטת הפצה

שיטת ההפצה של תוכנות זדוניות LOBSHOT נראתה ככוללת טקטיקות הטעיה, מינוף Google Ads ואתרים מזויפים כדי לפתות קורבנות תמימים. טכניקות אלו מדגימות עוד יותר את התחכום וההסתגלות של גורמי האיום שמאחורי התוכנה הזדונית הזו, מה שהופך את זה לקריטי עוד יותר עבור משתמשי קצה להיות זהירים בעת גלישה ולחיצה על פרסומות.

אתרים מזויפים דרך גוגל אדס

אחת הדרכים העיקריות שבהן LOBSHOT מופץ היא באמצעות שימוש באתרים מזויפים המקודמים באמצעות Google Ads. גורמי האיום יוצרים ומתחזקים אתרים מזויפים אלה, שנועדו לחקות אתרים ושירותים לגיטימיים. על ידי ניצול פלטפורמת Google Ads, היריבים יכולים להציג את הפרסומות הזדוניות שלהם למשתמשים תמימים שעלולים ללחוץ על המודעות מתוך רושם שהן אמיתיות, מה שמוביל להתקנת התוכנה הזדונית LOBSHOT במכשירים שלהם.

הפניית משתמשים לדומיין AnyDesk מזויף

מלבד שימוש באתרי אינטרנט מזויפים, תהליך ההפצה של תוכנות זדוניות של LOBSHOT כולל גם הפניית משתמשים לדומיין AnyDesk מזויף. AnyDesk הוא יישום שולחן עבודה מרוחק פופולרי שעסקים ואנשים רבים מסתמכים עליו עבור גישה ותמיכה מרחוק. שחקני האיום ניצלו את האמון הזה על ידי יצירת דומיין פיקטיבי של AnyDesk כדי להונות משתמשים כדי להוריד גרסה זדונית של התוכנה, שהיא למעשה תוכנה זדונית של LOBSHOT. שיטה זו מדגישה עוד יותר את הטקטיקות הערמומיות בהן השתמשו פושעי הסייבר הללו כדי ללכוד קורבנות ולבצע את הפעילויות הזדוניות שלהם.

התקנה באמצעות מערכת נפגעת

במקרים מסוימים, ניתן להתקין את התוכנה הזדונית LOBSHOT במכשיר של הקורבן באמצעות מערכת שנפרצה. זה עלול להתרחש אם המשתמש מבקר או מוריד מבלי לדעת תוכן מאתר שנדבק בתוכנה הזדונית, או אם הם הפכו למטרה של מסע פרסום דיוג בחנית. לאחר שהתוכנה הזדונית חדרה בהצלחה למכשיר של הקורבן, היא יכולה להעניק גישת VNC נסתרת לשחקן האיום, שיוכל לאחר מכן לשלוט ולתפעל את המערכת מרחוק כרצונו.

היכולות של LOBSHOT

תוכנות זדוניות של LOBSHOT מתגאות במגוון של יכולות אדירות שהופכות אותו למיומן בחדירה וניצול התקני משתמש. התוכנה הזדונית מתמקדת בעיקר במחשוב רשת וירטואלית נסתרת (hVNC), ומאפשרת לתוקפים לשלוט מרחוק במכשירים נגועים ולגשת לממשק המשתמש שלהם. יכולות הליבה של LOBSHOT כוללות:

מחשוב רשת וירטואלית נסתרת (hVNC)

בלב הפונקציונליות של LOBSHOT היא היכולת שלה לספק גישה נסתרת של VNC למכשירי הקורבן. באמצעות hVNC מוענקת לתוקפים שיטה סמויה של שליטה מרחוק במכשיר ללא הסכמתו או ידיעתו של הקורבן. תכונת hVNC הופכת את LOBSHOT למסוכנת במיוחד, מכיוון שהיא מאפשרת לשחקנים גרועים לשמור על נוכחות חמקנית במכשירים שנפגעו תוך כדי ביצוע פעילויות מרושעות שונות.

שלט רחוק של המכשיר

יכולות hVNC של LOBSHOT מאפשרות לתוקפים לקחת שליטה מלאה על מכשירים נגועים, ביצוע פקודות, ביצוע שינויים וגישה למשאבים כאילו הם המשתמש הלגיטימי. רמת שליטה זו מאפשרת לשחקני האיום לבצע מגוון רחב של פעילויות זדוניות, לרבות חילוץ נתונים, התקנת תוכנות זדוניות נוספות וניהול קמפיינים של ריגול. היכולת לשלוט מרחוק במכשיר של קורבן מדגישה את האיום המשמעותי שמציב LOBSHOT.

ממשק משתמש גרפי מלא (GUI)

לתוכנה הזדונית יש גם את היכולת לגשת לממשק המשתמש הגרפי המלא (GUI) של מכשיר היעד, מה שאומר שהתוקף יכול ליצור אינטראקציה ויזואלית עם סביבת שולחן העבודה של המכשיר. תכונה זו מוסיפה שכבה נוספת של יעילות ושליטה לתוכנה הזדונית על ידי כך שהיא מקלה על שחקן האיום לנווט ולתפעל את המכשיר שנפרץ. הגישה ל-GUI המלא מאפשרת לתוקף לפקח על פעילויות המשתמש, לגשת למידע רגיש ולבצע פעולות המיוחסות למשתמש הלגיטימי, תוך הדגשה נוספת של הרשעותו של LOBSHOT.

הקלה וחששות

תוכנת זדונית LOBSHOT מציגה דאגות משמעותיות הן למשתמשים בודדים והן לארגונים, בשל יכולות ה-VNC הנסתרות שלה והקשר שלה עם גורמי איומים בעלי מוטיבציה פיננסית כגון TA505. הפחתה והתייחסות לחששות אלה כרוכים בהבנת הסיכונים הפוטנציאליים ויישום אמצעי הגנה מתאימים, כמו גם קריאה לתקנות מחמירות יותר בפלטפורמות כגון Google Ads.

גניבת מידע בנקאי ופיננסי

אחת הדאגות העיקריות סביב LOBSHOT היא הפוטנציאל שלה לגנוב מידע בנקאי ופיננסי ממכשירים נגועים. גישת ה-VNC הנסתרת שלו מאפשרת לתוקפים לחדור למכשירים ללא זיהוי, לנטר את פעילויות המשתמש וללכוד נתונים רגישים כגון אישורי התחברות, מספרי חשבון ופרטי עסקאות. מידע כזה יכול להיות מנוצל לרווח כלכלי או להשתמש בו בהתקפות נוספות, כגון מילוי אישורים או מסעות פרסום דיוג.

קורא להחמרת רגולציית המודעות בגוגל

בתגובה לאיום הגובר של הפצת תוכנות זדוניות באמצעות גוגל אדס, כמה חוקרים ואנשי אבטחה קראו לאלפבית, חברת האחזקות של גוגל, להטיל תקנות מחמירות יותר על אישור פרסומות. הטמעת תהליכי סינון מודעות ומנגנוני אימות חזקים יותר יכולים לעזור למזער את התפשטות תוכנות זדוניות כמו LOBSHOT ולהפחית את הסיכון של משתמשים תמימים ליפול קורבן לאיומים כאלה. בינתיים, על משתמשי הקצה לנקוט באמצעי זהירות על ידי אימות הלגיטימיות של הדומיין שהם מבקרים והתוכנה שהם מורידים.

טוען...